Os gerenciadores de senha nativos (ou gerenciadores de login) dos navegadores são muito simples quando comparados a ferramentas como 1Password e LastPass, mas eles quebram um galhão porque preenchem campos de login e senha automaticamente. De acordo com o professor de ciência da computação Arvind Narayanan, um dos responsáveis pela pesquisa, scripts das empresas AdThink e OnAudience — até o momento, as únicas identificadas — exploram essa funcionalidade para coletar dados.
Basicamente, os scripts criam nas páginas em que foram implementados campos de login invisíveis ao usuário, mas que são identificados pelo navegador e, consequentemente, preenchidos pelo gerenciadore de senhas. O nome de usuário é então coletado e inserido em uma base de dados de controle. Quando esse mesmo login for identificado em outras páginas, anúncios específicos podem ser exibidos para aquele usuário — é como se o banner o “perseguisse”. Nada impede o uso dessas informações para outros fins. Os pesquisadores descobriram, por exemplo, que o script da AdThink envia os nomes coletados para a empresa de marketing Acxiom, que provavelmente aplica as informações na mensuração de audiência. Mas o pior é o risco de a técnica ser explorada de alguma forma para a captura de senhas. Para o truque funcionar, o script tem que ser implementado em sites com campos de login legítimos, afinal, é necessário que o usuário tenha conta lá para o preenchimento automático ser ativado. Esse é um indício de que os administradores do site provavelmente não sabem que os scripts coletam dados desses campos: quem iria expor a sua base de usuários assim?
Mas, para Narayanan, os sites têm sua parcela de culpa porque não exercem um controle mais rigoroso sobre scripts rodando em segundo plano: “esses problemas surgem em parte porque os administradores têm sido negligentes ao permitir scripts de terceiros em seus sites sem entender as implicações”. Procurada, a Audience Insights, empresa responsável pela AdThink, não comentou o assunto. Pelo menos a empresa tem uma página de opt out que permite bloquear o rastreamento (ainda que não esteja claro se esse bloqueio é realmente respeitado). Com informações: The Verge.
